Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Strix · 5.5., 16:25 · sikkerhet

Strix-skanneren fant null tenant-isolering hos Schemata, en a16z-støttet DoD-leverandør med militære treningsdata

SYNOPSIS_GENERERT

Sikkerhetsfirmaet Strix publiserte 3. mai 2026 en post-mortem fra fem måneders ansvarlig disclosure mot Schemata, en a16z-støttet startup som leverer programvare til det amerikanske forsvaret. Hver lavprivilegert bruker kunne hente data på tvers av hele kundeporteføljen.

Strix beskriver i sin blogg fra 3. mai 2026 hvordan deres autonome sikkerhetsplattform oppdaget «zero-auth»-mangel i flerleier-API-en hos Schemata, en startup støttet av Andreessen Horowitz som leverer datatjenester til amerikanske forsvarsleverandører. Sårbarheten eksponerte militære treningsdatasett og kundeoppdrag på tvers av tenants. Disclosure-prosessen tok fem måneder.

«There was no meaningful organization scoping, no tenant isolation, and no permission check preventing a low-privilege user from accessing other organizations' records.» — Strix, om Schemata-API-en

Den mest oppsiktsvekkende detaljen er ikke selve sårbarheten, men responsen fra Schematas administrerende direktør. Ifølge Strix var første svar fra CEO en kommentar Hacker News-tråden rundt artikkelen umiddelbart festet seg ved.

«I would love to hear what the vulnerability is, but I assume you want to get paid for it. Is that the play?» — Schematas CEO til Strix, ifølge bloggposten

Strix omtaler dette som typisk for et segment der startups markedsfører «AI-native» sikkerhet og samtidig mangler grunnleggende tilgangskontroll på sine egne API-er. Schemata har angivelig SOC 2- og ISO-sertifiseringer, noe som understreker at compliance-rammeverk ikke fanger opp at en lavprivilegert bruker kan lese andres records.

For norske KI-byggere som leverer til offentlig sektor er dette en påminnelse om at compliance-merker er nesten verdiløse mot autorisering-feil. Multi-tenant SaaS som lagrer data fra flere oppdragsgivere må ha minst tre lag: scoping på databasenivå, eksplisitt tilgangssjekk i hvert API-endepunkt, og audit-logger som flagger cross-tenant-spørringer.

Hva bør du gjøre?

  1. Sjekk din egen flerleier-API: Logg inn som bruker A i tenant X. Bytt org-ID i request-bodyen til tenant Y. Får du data tilbake? Da har du samme klasse feil som Schemata.
  2. Skriv en automatisert test som spør en annen organisasjons ressurs fra hver bruker-rolle. Kjør den i CI før hver deploy. Strix bygger akkurat denne typen test som tjeneste, men du kan skrive den selv på en ettermiddag.
  3. Antaket om at SOC 2 eller ISO 27001 dekker autorisering er feil. Disse rammene ser på prosess og kontroll, ikke på om koden faktisk håndhever tenant-grenser. Be om eksplisitt pen-test-rapport som dekker IDOR og horisontal privilege escalation.

Bakgrunn

Multi-tenant authorization-feil (IDOR, broken object-level authorization) topper OWASP API Security Top 10 år etter år. Schemata-saken får oppmerksomhet fordi kombinasjonen er sjelden offentlig: en a16z-portefølje-bedrift, militære treningsdata, og en CEO-respons som er enkel å sitere. Strix bruker historien til å markedsføre sin egen skanner, men funnet og disclosure-prosessen står på egne bein.

Åpne eksternt kildedokument
sikkerhetagenterverktøy

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN